À propos de l’autorisation donnée aux GitHub App
Les applications tierces qui doivent vérifier votre identité GitHub ou interagir avec GitHub en votre nom peuvent être amenées à vous demander d’autoriser une GitHub App pour les besoins de la vérification. Quand vous autorisez l’GitHub App, assurez-vous qu’il s’agit d’une application de confiance et examinez les informations auxquelles l’application veut accéder.
Dans le cadre du processus d’autorisation, vous êtes invité à accorder à l’GitHub App l’autorisation d’effectuer toutes les opérations suivantes :
- Vérifier votre identité GitHub : quand elle y est autorisée, l’GitHub App peut récupérer les informations de votre profil GitHub public. L’application peut aussi être en mesure de récupérer certaines informations du compte privé. Durant le processus d’autorisation, GitHub vous indique à quelles informations du compte l’GitHub App pourra accéder.
- Déterminer les ressources auxquelles vous avez accès : quand elle y est autorisée, l’GitHub App est en mesure de déterminer à quelles ressources auxquelles vous avez accès l’application peut également accéder. Avec cette autorisation, l’application peut vous montrer une liste de dépôts appropriée, par exemple.
- Agir en votre nom : quand elle y est autorisée, l’application peut effectuer différentes tâches sur GitHub en votre nom. Elle peut notamment créer un problème ou commenter une demande de tirage (pull request). Pour plus d’informations, consultez « À propos des GitHub App agissant en votre nom ».
Vous pouvez examiner et révoquer votre autorisation à tout moment. Pour plus d’informations, consultez « Examen et révocation de l’autorisation donnée aux applications GitHub ».
Différence entre l’autorisation et l’installation
Lorsque vous installez une GitHub App sur votre compte ou votre organisation, vous autorisez l’application à accéder aux ressources demandées qui sont stockées dans l’organisation et les dépôts. Vous spécifiez également les dépôts accessibles à l’application.
Lorsque vous autorisez une GitHub App, vous lui accordez l’accès à votre compte GitHub, sur la base des autorisations de compte demandées par l’application. Vous accordez également à l’application l’autorisation d’agir en votre nom.
Vous pouvez installer une GitHub App sans lui donner d’autorisation. Inversement, vous pouvez autoriser l’application sans l’installer.
Pour plus d’informations sur l’installation, consultez « Installing your own GitHub App ».
À propos des GitHub App agissant en votre nom
Une fois que vous avez autorisé une GitHub App, l’application peut agir en votre nom. Les situations dans lesquelles une GitHub App agit en votre nom varient selon l’objectif de l’GitHub App et le contexte dans lequel elle est utilisée. Par exemple, un environnement de développement intégré (IDE) peut utiliser une GitHub App pour interagir en votre nom afin de pousser (push) des modifications que vous avez faites avec l’IDE vers des dépôts sur GitHub.
L’GitHub App peut uniquement effectuer des tâches que l’application et vous-même avez l’autorisation de faire. Par exemple, si vous avez l’accès en écriture à un dépôt mais que l’GitHub App a seulement l’accès en lecture, l’application peut uniquement lire le contenu du dépôt lorsqu’elle agit en votre nom. De la même façon, si vous avez accès aux dépôts A et B, mais que l’GitHub App a accès aux dépôts B et C, l’application ne peut accéder qu’au dépôt B en agissant en votre nom.
Quand une application agit en votre nom, elle vous attribue l’activité conjointement avec l’application. Par exemple, si l’application publie un commentaire en votre nom, l’interface utilisateur GitHub affiche votre image d’avatar ainsi que le badge d’identicon de l’application comme auteur du problème.
De même, si l’activité déclenche une entrée correspondante dans les journaux d’audit et les journaux de sécurité, les journaux vous listent comme acteur, mais indiquent que « programmatic_access_type » est « GitHub App user-to-server token ».